Registri dei trattamenti privacy: rispondiamo alle domande più frequenti
I Registri dei Trattamenti sono quegli strumenti utili a dimostrare la conformità e dare sostanza probatoria alla regola della responsabilizzazione del Titolare e del Responsabile del trattamento.
QUANTI SONO I REGISTRI?
I registri che compongono l'apparato documentale proprio del Regolamento Privacy, insieme alle informative ed ai consensi, sono:
1) il Registro del titolare del trattamento;
Secondo quanto stabilito dall'art. 30 e 31 del Regolamento, il Registro del Titolare deve contenere tutte le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento; - una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
2) il Registro del responsabile del trattamento.
Tale registro contiene tutte le attività relative al trattamento dei dati svolte dal Responsabile per conto del Titolare.
COME DEVONO ESSERE TENUTI ?
Ai sensi dell'art. 30 e nel rispetto dei fini propri di tali Registri, gli stessi devono essere tenuti in forma scritta sia in formato cartaceo che eventualmente in formato digitale e, devono essere trasmessi alle Autorità di controllo ogni qualvolta richiesti.
QUANDO E' OBBLIGATORIO TENERE I REGISTRI ?
Secondo quanto previsto dall'art. 31, comma 5, l'obbligo di tenuta dei Registri si applica solo alle imprese o organizzazioni:
- con più di 250 dipendenti,
- quando il trattamento presenta un alto rischio per i diritti e le libertà dell’interessato,
- quando il trattamento includa categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Tuttavia il Garante della Privacy consiglia a tutti i Titolare e Responsabili di tenere almeno il registro del Titolare, in quanto strumento fondamentale non soltanto ai fini probatori, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno dell'impresa od organizzazione.
QUALI SONO LE SANZIONI PER MANCATA TENUTA DEI REGISTRI ?
Le violazioni degli art. 30 e 31 del Regolamento UE 2016/679 comportano sanzioni pecuniarie fino ad Euro 10.000.000,00 per le persone fisiche, o per le imprese fino ad un massimo del 2% del fatturato mondiale totale annuo dell'esercizio precedente.
